Bài giảng An toàn và bảo mật hệ thống thông tin: Chương 6

Bài giảng "An toàn và bảo mật hệ thống thông tin" Chương 6: Quản lý, chính sách và pháp luật an toàn thông tin, cung cấp cho người học những kiến thức như quản lý an toàn thông tin; giới thiệu bộ chuẩn quản lý an toàn thông tin ISO/IEC 27000; pháp luật và chính sách an toàn thông tin; vấn đề đạo đức an toàn thông tin. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Bài giảng An toàn và bảo mật hệ thống thông tin: Chương 6CHƯƠNG 6Bộ môn: Tin học quản lýKhoa Thống kê – Tin họcĐại học Kinh Tế - Đại học Đà Nẵng NỘI DUNG1. Quản lý an toàn thông tin2. Giới thiệu bộ chuẩn quản lý ATTT ISO/IEC 270003. Pháp luật và chính sách ATTT4. Vấn đề đạo đức ATTT 6.1 Quản lý an toàn thông tin1. Khái quát về quản lý ATTT2. Đánh giá rủi ro ATTT 6.1 Quản lý an toàn thông tin1. Khái quát về quản lý ATTT❖ Tài sản (Asset) trong lĩnh vực ATTT là thông tin, thiết bị, hoặc các thành phần khác hỗ trợ các hoạt động có liên quan đến thông tin.❖ Tài sản ATTT có thể gồm: ▪ Phần cứng (máy chủ, các thiết bị mạng,…) ▪ Phần mềm (hệ điều hành, các phần mềm máy chủ dịch vụ,…) ▪ Thông tin (thông tin khách hàng, nhà cung cấp, hoạt động kinh doanh,…)❖ Quản lý an toàn thông tin (Information security management) là một tiến trình (process) nhằm đảm bảo các tài sản quan trọng của cơ quan, tổ chức, doanh nghiệp được bảo vệ đầy đủ với chi phí phù hợp; 6.1 Quản lý an toàn thông tin1. Khái quát về quản lý ATTT❖ Quản lý ATTT phải trả lời được 3 câu hỏi: ▪ Những tài sản nào cần được bảo vệ? ▪ Những đe dọa nào có thể có đối với các tài sản này? ▪ Những biện pháp có thể thực hiện để ứng phó với các đe dọa đó?❖ Quản lý an toàn thông tin (Information security management) là một tiến trình (process) nhằm đảm bảo các tài sản quan trọng của cơ quan, tổ chức, doanh nghiệp được bảo vệ đầy đủ với chi phí phù hợp;❖ Quản lý ATTT phải trả lời được 3 câu hỏi: ▪ Những tài sản nào cần được bảo vệ? ▪ Những đe dọa nào có thể có đối với các tài sản này? ▪ Những biện pháp có thể thực hiện để ứng phó với các đe dọa đó? 6.1 Quản lý an toàn thông tin1. Khái quát về quản lý ATTT❖ Quản lý ATTT có thể gồm các khâu: ▪ Xác định rõ mục đích đảm bảo ATTT; ▪ Xây dựng hồ sơ tổng hợp về các rủi ro; ▪ Đánh giá rủi ro với từng tài sản ATTT cần bảo vệ; ▪ Xác định và triển khai các biện pháp quản lý, kỹ thuật kiểm soát, giảm rủi ro về mức chấp nhận được.❖ Quá trình quản lý ATTT cần được thực hiện liên tục theo chu trình do: ▪ Sự thay đổi nhanh chóng của công nghệ: • Nhiều công nghệ, kỹ thuật và công cụ mới xuất hiện • Độ phức tạp của hệ thống tăng nhanh. ▪ Môi trường xuất hiện rủi ro liên tục thay đổi: • Xuất hiện nhiều công cụ cho tấn công, phá hoại • Xuất hiện nhiều mối đe dọa mới • Trình độ của tin tặc được nâng lên nhanh chóng. 6.1 Quản lý an toàn thông tin1. Khái quát về quản lý ATTT❖Chu trình Plan-Do-Check-Act (PDCA) thực hiện quản lý ATTT liên tục: 6.1 Quản lý an toàn thông tin2. Đánh giá rủi ro an toàn thông tin❑ Đánh giá rủi ro an toàn thông tin (Security risk assessment)❖Là một bộ phận quan trọng của vấn đề quản lý rủi ro;❖Mỗi tài sản của tổ chức cần được xem xét, nhận dạng các rủi ro có thể có và đánh giá mức rủi ro;❖Là một trong các cơ sở để xác định mức rủi ro chấp nhận được với từng loại tài sản;❖Trên cơ sở xác định mức rủi ro, có thể đề ra các biện pháp xử lý, kiểm soát rủi ro trong mức chấp nhận được, với mức chi phí phù hợp. 6.1 Quản lý an toàn thông tin2. Đánh giá rủi ro an toàn thông tin❑ Các phương pháp tiếp cận đánh giá rủi ro▪ Phương pháp đường cơ sở (Baseline approach)▪ Phương pháp không chính thức (Informal approach)▪ Phương pháp phân tích chi tiết rủi ro (Detailed risk analysis)▪ Phương pháp kết hợp (Combined approach) 6.1 Quản lý an toàn thông tin❑ Phương pháp đường cơ sở▪ Mục đích của Phương pháp đường cơ sở là thực thi các kiểm soát an ninh ở mức cơ bản dựa trên: ▪ Các tài liệu cơ bản; ▪ Các quy tắc thực hành; ▪ Các thực tế tốt nhất của ngành đã được áp dụng. 6.1 Quản lý an toàn thông tin❑ Phương pháp đường cơ sở▪ Ưu điểm: ▪ Không đòi hỏi các chi phí cho các tài nguyên bổ sung sử dụng trong đánh giá rủi ro chính thức; ▪ Cùng nhóm các biện pháp có thể triển khai trên nhiều hệ thống.▪ Nhược điểm: ▪ Không xem xét kỹ đến các điều kiện nảy sinh các rủi ro ở các hệ thống của các tổ chức khác nhau; ▪ Mức đường cơ sở được xác định chung nên có thể không phù hợp với từng tổ chức cụ thể. Mức quá cao: gây tốn kém, quá thấp: có thể gây mất an toàn.▪ Phù hợp với các tổ chức với hệ thống CNTT có quy mô nhỏ, nguồn lực hạn chế. 6.1 Quản lý an toàn thông tin❑ Phương pháp không chính thức▪ Phương pháp không chính thức liên quan đến việc: ▪ Thực hiện một số dạng phân tích rủi ro hệ thống CNTT của tổ chức một cách không chính thức; ▪ Sử dụng kiến thức chuyên gia của các nhân viên bên trong tổ chức, hoặc các nhà tư vấn từ bên ngoài; ▪ Không thực hiện đánh giá toàn diện các rủi ro đối với tất cả các tài sản CNTT của tổ chức. 6.1 Quản lý an toàn thông tin❑ Phương pháp không chính thức▪ Ưu điểm: ▪ Không đòi hỏi các nhân viên phân tích rủi ro có các kỹ năng bổ sung, nên có thể thực hiện nhanh với chi phí thấp; ▪ V ...